- Eltűnhet a Dinamikus Sziget
- Motorola Edge 50 Neo - az egyensúly gyengesége
- A Samsung bemutatta az Exynos 2500-at
- Samsung Galaxy Watch6 Classic - tekerd!
- Szívós, szép és kitartó az új OnePlus óra
- Milyen okostelefont vegyek?
- Netfone
- Honor Magic6 Pro - kör közepén számok
- Google Pixel 8 Pro - mestersége(s) az intelligencia
- Megjelent a Poco F7, eurós ára is van már
Új hozzászólás Aktív témák
-
borg25
senior tag
"S mi lenne, ha azzal, hogy lenne törvényes _bejelentési_ lehetőség is, a hatóság nem egyből börtönnel meg büntetéssel reagálna, hanem együttműködéssel?"
Három napig DDOS-ollak, majd küldök egy levelet, hogy a tűzfalad nem véd megfelelően a DDOS támadás ellen. Így kéne átállítanod a tűzfalat, és ezeket a beállításokat kellene kérned az ISP-től.
Etikus hacker voltam vagy nem?
Ha csak 3 órát DDOS-oltak volna, akkor már etikus lennék?
A DDOS is egy támadás, az ellen is lehet védekezni, szóval jó ha felhívom rá a figyelmed...Ami még eszembe jutott, ez annyira magyar mentalitás! Akit észreveszünk, azon példát statuálunk, szétszívatjuk, megbüntetjük, a többi simlis megy nyugodtan csinálhatja tovább a dolgát.
Amerikában mi van? Ott ha elkapnak egy hackert akkor nyalókát kap és fej simit? Oké ha elég ügyes akkor felajánlják az együttműködést valahogy így: Együttműködés, úgy hogy figyelünk, és ha bármit csinálsz hűvös, vagy 10 év hűvös? Mit szeretnél? -
borg25
senior tag
Még, hogy kára nem származik a cégnek, ha önjelölt etikus hackerünk teszteli a rendszert.
Először is hardware erőforrásokat köt le. Kicsi az esélye, hogy ez terheli túl a rendszert, de a rendszer működése lelassulhat. Ha mondjuk ez nem csak a publikus webszervert érinti, hanem azokat a szervereket is, amin az alkalmazottak dolgoznak, az bosszantó, és lassabban halad a munka, ami miatt esetlegesen túlórázni kell.
Hackelés egy része próba cseresznye. Beküldesz egy üzenetet, s várod mit reagál rá a szoftver. Aztán ha page faultal elhasal a szoftver, akkor ugye leáll a munka, lehet fizetni az informatikust, hogy indítsa újra az egészet, hajnali 2kor ezt lehet, hogy plusz pénzért fogja megtenni, vagy csak reggel 8kor szembesülnek vele, s az első 1 órában mindenki lógatja a lábát, mert nem tud dolgozni.Ha jó a rendszer, akkor jelzi a támadást, mivel nem lehet egyből tudni, hogy te egy jó szándékú kedves etikus hacker vagy, ezért egyből elindul a védekezés, lehet riasztani az informatikusokat, IT biztonsági szakembereket. Lehet küzdeni a támadás leállításáért, meghatározni, hogy mihez fért hozzá, milyen kára keletkezett a cégnek. Riasztani a döntéshozókat, menedzsereket, mert mondjuk a szerver lelövéséről nem a mezei ügyeletes IT-s fog dönteni. A menedzserek se lesznek boldogok, hogy egy önjelölt etikus hacker miatt kellett hajnali 3kor felkelniük, úgy hogy 8kor mennek tárgyalni egy fontos ügyben.
Szóval nem, egy nem egyeztetett jó szándékú támadásnak igen súlyos költségei lehetnek.
-
borg25
senior tag
válasz
#19482368
#62
üzenetére
Tudok mondani még rémisztőbbet, amit a GDPR nyitott meg.
Ha önjelölt hackerünknek a profitmaximalizálás a célja, akkor mondhatja azt, hogy
a. Biztonsági hiba feltárása, csak itt csak most neked 100eHUF
b. Béna voltál, leszedtem a személyes adatokat, ahhoz, hogy ne posztoljam, s ne kapj mondjuk egy millás bírságot elég ha utalsz 0,25 bitcoint (465eHUF)Utóbbi már kőkemény zsarolás, dehát az elérhető profit is 5x, és ha sikerül személyes adathoz hozzáférni, akkor miért ne? Laptop se ingyé van.
Ha pedig már kinyílt Pandora szelencéje, akkor ne álljunk már itt meg, ha a konkurenciát megbírságolják, az sose fáj, és hát vesszen minden Piréz vállalat is, ők úgy is mások. -
borg25
senior tag
válasz
#19482368
#44
üzenetére
Kifelejtetted azt a plusz opciós lehetőséget, mikor az önjelölt jó szándékú anonim hackerünk azért dolgozik nekünk ingyen, mert a konkurencia megbízta, hogy térképezze fel a rendszereinket.
Megadta azt a 9 sebezhetőséget, ami érdektelen, a 10. sebezhetőséget, ami a banki rendszerhez ad hozzáférést, illetve a 11-et ami a konkurenciának kell, azt nem.
Mivel ingyen dolgozott, még nem is felelősségre vonható, hogy félreinformált, téves biztonságba ringatott, illetve azt is hitte a vezetés, hogy a munkája ért annyit, mintha kifizetnek egy 1 óra vizsgálatot egy okleveles, nyilvántartásba vett hackernek. -
borg25
senior tag
Vezettél már autót? Vezettél már gyorsabban mint a megengedett? Gondolom azért csak előfordult, hogy mikor biztonságos volt, hiába volt ott a 30-as tábla, mentél 50-el, vagy autópálya felújítás esetén a többiekkel egyetembe az átlagsebességed inkább a 90-et közelítette meg, semmint az előírt 60-at, pedig te csak az előtted lévő sebességét vetted fel a 2x1 sávos úton.
Az egy másik kérdés, hogy előfordult-e olyan is, mikor hajnali 3-kor úgy gondoltad, hogy Budapest területén 140-el is lehet repeszteni, mert úgy sincs senki az utakon, a kereszteződésnél pedig senki se fog jönni. Esetleg autópályán barátságos 190?
Mikor a település határához érsz, akkor az előírt 50km/h cammogsz be, vagy megvárod míg az autó szépen magától lelassít 80-ról. Esetleg figyelembe veszed, hogy 15km/h sebességtúllépést csak helyszínen büntetik, ha te vagy a tulajdonos.Mindegyik sebességtúllépést bünteti a törvény.
Mindegyik esetén járhatsz úgy, hogy tőled függetlenül egy gyerek kiszalad az útra, s kénytelen leszel belátni, ha 30-al mentél volna, akkor hamarább megállsz. Ha az előtte lévő 1km-en betartod a 30-at, és nem 50-el mész, akkor 48 másodperccel később érsz oda, addigra a kisgyerek rég átfut. De neked sietni kellett.
Az építkezésen kint felejtett tábla érdekes dolog. Tőlünk nyugatabbra, ha vége a műszaknak, akkor az összes táblát elfordítják, hogy már nem dolgoznak az út mellett, nyugodtan lehet menni újra 90-el.
Rossz nyelvek szerint, néha kiadják a rendőröknek, hogy pénzt kell gyűjteni, s nagyon jól tudják, hogy ilyenkor mondjuk a település határába kell kimenni, ami azért bár jogszerű, de szemét dolog.
Aki városon belül megy 140-el, annak inkább a két kezét törném el, mert úgy tuti, hogy 2 hónapig nem fog vezetni, jogsielvételtől ellenben még a BMW indul.Ezek fényében érdemes elgondolkodni az önjelölt etikus hackelésen. Azért az se lehet jó érzés, mikor másnap az ember azt olvassa, hogy egy hackertámadás miatt a mentők belső szervere egy buffer overflow támadás után page faultal leállt, s hárman meghaltak, mert vissza kellett állniuk a régi eljárásra, és késve értek ki a mentők egy balesethez. Pedig a hacker csak jót akart, mondván, a mentőknek biztos nincs pénzük egy etikus hackert megfizetni, s karitatívan segített.
Azt is meg lehetett volna tenni, hogy előre ingyen felajánlja a szolgálatát, aztán ha elhajtják, akkor max megy a helyi kórházhoz, hogy ott kell-e ingyenes biztonsági audit. -
borg25
senior tag
Fred23 megállapítása vicces is, és fájóan igaz is.
Állambácsi környékén sok az olyan eset, mikor az a jó, ha kiderül, hogy nincs semmi baj. Nem csak IT biztonság hanem más ellenőrzési területen is.
Magánszektorban is lehet ilyen nézet, mikor a biztonságot, minőségbiztosítást nyűgnek érzik, amit csak ki kell pipálni, és nem kéne mélyen megkaparni.
Aztán, van olyan is, mikor belátják, hogy ez tényleg érdek, és egy minőségbiztosítás hozzáadott értéket is jelent, nem csak egy papírt, ami a pályázás feltétele. Mikor tényleg felvetődik a kérdés, hogy lehetek hatékonyabb és biztonságosabb... -
borg25
senior tag
Vagyis ha nem kérnek fel senkit, akkor nem is lesz látható biztonsági rés, tehát "mindenki" jól jár
Hibás a következtetés.Feltörhetetlen rendszer nincs. Az, hogy egy etikus hacker tegnap azt mondta, hogy nem tudja feltörni a rendszert nem jelenti azt, hogy ma már nem tudná, vagy nála jobban hozzáértő tegnap se tudta volna. Azt se jelenti, hogyha több embernap vizsgálatot fizettek volna, akkor nem-e talált volna végül fogást a rendszeren.
Ha nem csak egy 3 napos gyorstalpalón szerezte a képzést két hete, hanem évek óta nyomja, és gyűjtötte a tapasztalatokat az etikus hackerünk, akkor elég nagy valószínűséggel megtalálja a kiskapukat, vagy igen jó részét. Az ismert sebezhetőségeket nyilván végigpróbálta, tehát aki fel akarja törni a rendszert annak jobb ötlettel kell próbálkoznia, mint a routeren a default jelszó használata...
Nem vagyok etikus hacker, csak érdekel a téma, tudtommal elég szép sebezhetőségi listát össze tudnak állítani. Ha meg biztosra akar menni a cég, ő is megteheti, hogy átmenetileg elrejt egy sebezhetőséget a rendszeren, hogy vajon hackerünk megtalálja: pl Biztonsági frissítés felrakásával várnak, jelszót primitívre állítják.
Igazság szerint nem is cél az összes hiba megtalálása. Valójában a cég semmire se megy azzal, ha tudja, hogy mik a sebezhetőségei, neki azt kell tudnia, hogy az elkövetkezendőkben mire kell költenie, hogy a biztonságot a lehető leghatékonyabban tudja növelni. Vagy kiválaszt egy rendszert pl gyártósor vezérlés és azt teszi biztonságossá.
Új hozzászólás Aktív témák
Hirdetés
-
Frissítve! Hackersiralmak
- Milyen videókártyát?
- E-roller topik
- Norvégia átmenetileg betiltja az áramigényes kriptobányászatot
- Építő/felújító topik
- Eltűnhet a Dinamikus Sziget
- Kettő együtt: Radeon RX 9070 és 9070 XT tesztje
- SUSE Linux
- Nvidia GPU-k jövője - amit tudni vélünk
- Parfüm topik
- Motorola Edge 50 Neo - az egyensúly gyengesége
- További aktív témák...
- LG 65B4 - 65" OLED - 4K 120Hz 1ms - NVIDIA G-Sync - FreeSync Premium - HDMI 2.1 - PS5 és Xbox Ready
- Fotós felszerelés - Stúdió lámpa / Softbox / Vaku
- Csere-Beszámítás! RGB Számítógép PC játékra! R5 5600X / RTX 3060Ti 8GB / 32GB DDR4 / 500GB SSD
- Xiaomi Redmi A3 64GB Kártyafüggetlen, 1Év Garanciával
- Tablet felvásárlás!! Apple iPad, iPad Mini, iPad Air, iPad Pro
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged